مبانی نظری سیستم های تشخیص نفوذ
دانلود مبانی نظری سیستم های تشخیص نفوذ
پیشینه تحقیق سیستم های تشخیص نفوذ
ادبیات نظری سیستم های تشخیص نفوذ
فصل دوم پروژه سیستم های تشخیص نفوذ
چارچوب نظری و پیشینه پژوهش سیستم های تشخیص نفوذ
این نوشتار مبانی نظری و پیشینه تحقیق سیستم تشخیص نفوذ IDS می باشد. در بخش اول مبانی نظری سیستم تشخیص نفوذ IDS تشریح می شود و در بخش دوم پیشینه تحقیق سیستم تشخیص نفوذ IDS در پژوهش های داخلی و خارجی مورد بررسی قرار می گیرد.
مروری بر سیستمهای تشخیص نفوذ
تشخیص نفوذ عبارت است از تحلیل بی درنگ دادههای شبکه به منظور تشخیص و ثبت و اخطار به هنگام بروز حملات و یا اقدامات مخرب امنیتی. در عمل انواع مختلفی از روشهای تشخیص حمله وجود دارد که با توجه با انواع مختلف اقدامات درون شبکه قادر هستند اقدامات مخرب و نفوذی را کشف کنند. در عین این سیستمها از بخشهای مختلفی تشکیل شدهاند و به طرق مختلفی این اجزا میتوانند در کنار هم قرار گیرند و عملکرد خاصی راایجاد کنند.در این بخش به ارائه چارچوب کلی در مورد امنیت شبکه و سیستمهای کامپیوتری میپردازیم. ابتدا انواع حملات و تهدیدهای موجود در شبکه های کامپیوتری را طبقه بندی میکنیم. سپس به طبقه بندی سیستمهای تشخیص نفوذ از حیث ساختار میپردازیم. در نهایت هم در مورد تکنولوژیهای تشخیص نفوذ و کارکردهای مختلف این ابزارها در مدیریت و حفظ امنیت و نظارت بر شبکههای کامپیوتری بحث میکنیم.
1-1-1- انواع حملات شبکه
انواع حملات با توجه به حمله کننده به این شرح است:
1-1-1-1- انواع حملات شبکهای با توجه به طریقه حمله
یک نفوذ به شبکه معمولا یک حمله قلمداد میشود. حملات شبکهای را میتوان بسته به چگونگی انجام آن به دو گروه اصلی تقسیم کرد. یک حمله شبکهای را میتوان با هدف نفوذگر از حمله توصیف و مشخص کرد. این اهداف معمولا از کار انداختن سرویس ( DoS) یا دسترسی غیر مجاز به منابع شبکه است.
· حملات از کار انداختن سرویس: در این نوع حملات مهاجم استفاده از سرویس ارائه شده توسط ارائه کننده خدمات برای کاربرانش را مختل میکند. در این حملات حجم بالایی از درخواست ارائه خدمات به سرور فرستاده میشود تا امکان خدمات رسانی را از آن بگیرد. در واقع سرور به پاسخگویی به درخواستهای بی شمار مهاجم مشغول میشود و از پاسخگویی به کاربران واقعی باز میماند.
· حملات دسترسی به شبکه: در این نوع از حملات نفوذگر امکان دسترسی غیر مجاز به منابع شبکه را پیدا میکند و از این امکان برای انجام فعالیتهای غیر مجاز و حتی غیر قانونی استفاده میکند. برای مثال از شبکه به عنوان مبدا حملات DoS خود استفاده میکند تا در صورت شناسایی مبدا، خود گرفتار نشود. دسترسی به شبکه را میتوان به دو گروه تقسیم کرد.
o دسترسی به داده: در این نوع دسترسی، نفوذگر به داده موجود بر روی اجزا شبکه دسترسی غیر مجاز پیدا میکند. حمله کننده میتواند یک کاربر داخلی یا یک فرد خارج از مجموعه باشد. دادههای ممتاز و مهم معمولا تنها در اختیار بعضی کاربران شبکه قرار میگیرد و سایرین حق دسترسی به آنها را ندارند. در واقع سایرین امتیاز کافی را جهت دسترسی به اطلاعات محرمانه را ندارند، اما میتوان با افزایش امتیاز به شکل غیر مجاز به اطلاعات محرمانه دسترسی پیدا کرد. این روش به تعدیل امتیاز[1] مشهور است.
o دسترسی به سیستم: این نوع حمله خطرناکتر و بدتر است و طی آن حمله کننده به منابع سیستم و دستگاهها دسترسی پیدا میکند. این دسترسی میتواند شامل اجرای برنامهها بر روی سیستم و به کارگیری منابع آن در جهت اجرای دستورات حمله کننده باشد. همچنین حمله کننده میتواند به تجهیزات شبکه مانند دوربینها، پرینترها و وسایل ذخیره سازی دسترسی پیدا کند. حملات اسب ترواها، حمله تست همه حالات ممکن[2] و یا استفاده از ابزارهایی جهت تشخیص نقاط ضعف یک نرمافزار نصب شده بر روی سیستم از جمله نمونههای قابل ذکر از این نوع حملات هستند.
فعالیت مهمی که معمولا پیش از حملات DoS و دسترسی به شبکه انجام میشود، شناسایی[3] است. یک حمله کننده از این فاز جهت یافتن حفرههای امنیتی و نقاط ضعف شبکه استفاده میکند. این کار میتواند به کمک بعضی ابزارهای آماده انجام پذیرد که به بررسی درگاههای باز و در حال کار رایانههای موجود بر روی شبکه میپردازند و آمادگی آنها را جهت انجام حملات مختلف بر روی آنها بررسی میکنند.
1-1-1-2- انواع حملات شبکهای با توجه به حمله کننده
حملات شبکهای را میتوان با توجه به حمله کننده به چهار گروه تقسیم کرد:
· حملات انجام شده توسط کاربر مورد اعتماد ( داخلی ): این حمله یکی از مهمترین و خطرناکترین نوع حملات است، چون از یک طرف کاربر به منابع مختلف شبکه دسترسی دارد و از طرف دیگر سیاستهای امنیتی معمولا محدودیتهای کافی درباره این کاربران اعمال نمیکنند.
· حملات انجام شده توسط افراد غیر معتمد ( خارجی): این معمولترین نوع حمله است که یک کاربر خارجی که مورد اعتماد نیست شبکه را مورد حمله قرار میدهد. این افراد معمولا سختترین راه را پیش رو دارند زیرا بیشتر سیاستهای امنیتی درباره این افراد تنظیم شدهاند.
· حملات انجام شده توسط مهاجمهای بی تجربه: بسیاری از ابزارهای حمله و نفوذ بر روی اینترنت وجود دارند. درواقع بسیاری از افراد میتوانند بدون تجربه خاصی و تنها با استفاده از ابزارهای آماده برای شبکهایجاد مشکل کنند.
· حملات انجام شده توسط کاربران مجرب: مهاجمهای با تجربه و حرفهای در نوشتن انواع کدهای خطرناک متبحرند. آنها از شبکه و پروتکلهای آن و همچنین از انواع سیستمهای عامل آگاهی کامل دارند. معمولا این افراد ابزارهایی تولید میکنند که توسط گروه اول به کار گرفته میشوند. آنها معمولا پیش از هر مرحله، آگاهی کافی درباره هدف خود و آسیب پذیریهای آن کسب میکنند.
فهرست مطالب
فصل دوم: تعاریف و پیش نیازها
2-1- مقدمه
2-2- مروری بر بدافزارها
2-2-1- سیر تكاملی ویروس های رایانه ای
2-2-2- بدافزار چیست؟
2-2-2-1- كرم
2-2-2-2- ویروس
2-2-2-3- تروجان
2-2-2-4- تروجان دسترسی از راه دور
2-2-2-5- روتكیت
2-3 مروری بر سیستم های تشخیص نفوذ
2-3-1- انواع حملات شبکه
2-3-1-1- انواع حملات شبکه ای با توجه به طریقه حمله
2-3-1-2- انواع حملات شبکه ای با توجه به حمله کننده
2-3-2- مکمل های سیستم های تشخیص نفوذ در برقراری امنیت
2-3-2-1- دیواره آتش
2-3-2-2- ساز و کارهای رمزنگاری و تایید هویت
2-3-2-3- لیست های کنترل دسترسی
2-3-3- انواع سیستم های تشخیص نفوذ
2-3-3-1- سیستم های تشخیص نفوذ مبتنی بر میزبان
2-3-3-2- سیستم های تشخیص نفوذ مبتنی بر شبکه
2-3-3-3- سیستم های توزیع شده
2-3-4- انواع روش های تشخیص حمله
2-3-4-1 روش های مبتنی بر امضا
2-3-4-2 روش های تشخیص حمله مبتنی بر ناهنجاری
2-3-4-3- روش های مبتنی بر تحلیل حالت پروتکل ارتباطی
2-3-5- تکنولوژی های سیستم های تشخیص نفوذ
2-3-5-1- اجزای سامانه های تشخیص نفوذ
2-3-5-2- ساختار و همبندی اجزای سیستم تشخیص نفوذ
2-3-5-3- عملکرد امنیتی سیستم های تشخیص نفوذ
2-3-5-4- قابلیت های مدیریتی ابزارهای تشخیص نفوذ
2-3-6- ویژگی های ابزار تشخیص نفوذ ایده آل
2-3-6-1- دقت بالا، نرخ تشخیص بالا و کم بودن هشدارهای نادرست
2-3-6-2- نحوه واکنش و ایجاد هشدار و کار با IDSهای دیگر
2-3-6-3- قابلیت های پیکربندی و تنظیمات فاز نصب و سازگاری با شرایط سیستم
2-3-6-4- امکان اعمال سیاست امنیتی در نسخه امنیتی یا با استفاده از قوانین کارآمد
2-3-6-5- مقیاس پذیری و توزیع پذیری
2-3-6-6- اجرای مداوم و تحمل پذیری خطا
2-3-6-7- قابلیت تشخیص حملات دیده نشده
2-3-6-8- بهره وری و عملکرد مناسب
2-3-6-9- کار با حداقل سربار و امکان بررسی عملکرد و بهره وری ابزار تشخیص نفوذ
فصل سوم : پیشینه تحقیق
3-1- ترکیب فیلترینگ و روش های آماری برای تشخیص ناهنجاری
3-2- تجزیه و تحلیل سیگنال ناهنجاری های ترافیک شبکه
3-3- یک چارچوب سیستم های تشخیص نفوذ مشارکتی برای شبکه های محاسبات ابری
3-4- شناسایی حمله در ابر 79
3-5- سیستم های تشخیص نفوذ و مدیریت ورودی چند سطحی در محاسبات ابری
3-6- جایگذاری یک NIDS در یک محیط محاسبات ابری
3-7- ابرهای دو قلو: یک معماری برای محیط ابری امن
منابع
